CVE-2026-8198 in Activity Logs, User Activity Tracking, Multisite Activity Log PluginИнформация

Сводка

по VulDB • 17.05.2026

В плагине Logtivity для WordPress модули Activity Logs, User Activity Tracking и Multisite Activity Log уязвимы к обходу аутентификации (Authentication Bypass) с последующим раскрытием информации (Information Disclosure) в версиях вплоть до 3.3.6 включительно. Это обусловлено логической ошибкой в методе verifyAuthorization, где запросы без заголовка Authorization пропускают проверку токена Bearer и переходят к безусловному возврату true, тем самым обходя все проверки аутентификации. Это позволяет неаутентифицированным злоумышленникам обращаться к конечной точке REST API /wp-json/logtivity/v1/options и получать все параметры конфигурации плагина, включая logtivity_site_api_key, который может быть использован для маскировки под сайт при вызовах API к сервису Logtivity.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

09.05.2026

Раскрытие

09.05.2026

Модерация

принято

Вход

VDB-362456

EPSS

0.00040

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8198
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8198
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8198/

ПредыдущийОбзорДалее

Interested in the pricing of exploits?

See the underground prices here!